Share via

Reaaliaikaiseen suojaukseen liittyvien suorituskykyongelmien vianmääritys

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Jos järjestelmässäsi on korkea suoritinkäyttö tai suorituskykyongelmia, jotka liittyvät reaaliaikaiseen suojauspalveluun Microsoft Defender for Endpoint, voit lähettää palvelupyynnön Microsoftin tukeen. Noudata ohjeita kohdassa Microsoft Defender virustentorjunnan diagnostiikkatietojen kerääminen.

Järjestelmänvalvojana voit myös tehdä vianmäärityksen itse.

Sinun kannattaa ensin tarkistaa, johtuuko ongelma toisesta ohjelmistosta. Lue Tarkista toimittajalta virustentorjuntaan liittyviä poissulkemisia.

Muussa tapauksessa voit tunnistaa, mikä ohjelmisto liittyy tunnistettuun suorituskykyongelmaan, noudattamalla Analysoi Microsoftin suojauslokia -kohdassa olevia ohjeita.

Voit myös antaa lähetyksestä microsoftille lisälokeja noudattamalla seuraavia ohjeita:

Jos haluat lisätietoja Microsoft Defender virustentorjuntaan liittyvistä suorituskykyongelmista, katso Microsoft Defender virustentorjuntaan liittyvä suorituskyvyn analysointi

Tarkista toimittajalta virustentorjuntaan liittyvät poikkeukset

Jos pystyt helposti tunnistamaan järjestelmän suorituskykyyn vaikuttavan ohjelmiston, siirry ohjelmistotoimittajan tietokanta tai tukikeskukseen. Haku, jos heillä on suosituksia virustentorjunnan poissulkemisista. Jos toimittajan verkkosivustolla ei ole niitä, voit avata tukipalvelupyynnön heidän kanssaan ja pyytää häntä julkaisemaan sellaisen.

Suosittelemme, että ohjelmistotoimittajat noudattavat eri ohjeita kohdassa Yhteistyö alan kanssa, jotta false-positiiviset voidaan minimoida. Toimittaja voi lähettää ohjelmistonsa Microsoftin suojaustiedustelu portaalin kautta.

Analysoi Microsoft Protection -lokia

Microsoftin suojauslokitiedosto löytyy osoitteesta C:\ProgramData\Microsoft\Windows Defender\Support.

MPLog-xxxxxxxx-xxxxxx.log näet ohjelmiston suorittamisen arvioidut suorituskykyvaikutustiedot muodossa EstimatedImpact:

Per-process counts:ProcessImageName: smsswd.exe, TotalTime: 6597, Count: 1406, MaxTime: 609, MaxTimeFile: \Device\HarddiskVolume3\_SMSTaskSequence\Packages\WQ1008E9\Files\FramePkg.exe, EstimatedImpact: 65%


Kentän nimi Kuvaus
ProcessImageName Prosessikuvan nimi
Kokonaisaika Tämän prosessin käsittelemien tiedostojen tarkistuksissa käytetty kumulatiivinen kesto millisekunteina
Laskea Tämän prosessin käsittelemien skannattujen tiedostojen määrä
Enimmäisaika Tämän prosessin käyttämän tiedoston pisimmän yksittäisen tarkistuksen kesto millisekunteina
MaxTimeFile Tämän prosessin käyttämän tiedoston polku, jolle kirjattiin pisin keston MaxTime tarkistus
EstimatedImpact Tämän prosessin käsittelemien tiedostojen skannauksessa käytetty aika prosentteina siitä ajanjaksosta, jona tämä prosessi koki tarkistuksen

Jos suorituskykyvaikutus on suuri, yritä lisätä prosessi Polku/Prosessi-poissulkemisiin noudattamalla ohjeita kohdassa Määritä ja vahvista poikkeukset Microsoft Defender virustentorjuntatarkistuksia varten.

Jos edellinen vaihe ei ratkaise ongelmaa, voit kerätä lisätietoja prosessin valvonnan tai Windowsin suorituskyvyn tallentimen kautta seuraavissa osioissa.

Tallenna prosessilokit prosessin tarkkailun avulla

Prosessien valvonta (ProcMon) on edistynyt valvontatyökalu, joka voi näyttää reaaliaikaisia prosesseja. Tämän avulla voit siepata suorituskykyongelman, kun sitä esiintyy.

  1. Lataa Process Monitor v3.89 kansioon, kuten C:\temp.

  2. Voit poistaa tiedoston WWW-merkinnän seuraavasti:

    1. Napsauta ProcessMonitor.zip hiiren kakkospainikkeella ja valitse Ominaisuudet.
    2. Etsi Yleiset-välilehdestäSuojaus.
    3. Valitse eston poistamisen vieressä oleva valintaruutu.
    4. Valitse Käytä.

    Poista MOTW -sivu

  3. Pura tiedosto siten C:\temp , että kansiopolku on C:\temp\ProcessMonitor.

  4. Kopioi ProcMon.exe Windows-asiakkaaseen tai Windows-palvelimeen, jota olet vianmäärityksessä.

  5. Ennen kuin suoritat ProcMonin, varmista, että kaikki muut sovellukset, jotka eivät liity suuren suoritinkäytön ongelmaan, on suljettu. Tämän tekeminen minimoi tarkistettavat prosessit.

  6. Voit käynnistää ProcMonin kahdella tavalla.

    1. Napsauta ProcMon.exe hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

      Koska kirjaaminen käynnistyy automaattisesti, pysäytä nykyinen sieppaus valitsemalla suurennuslasikuvake tai käytä pikanäppäintä Ctrl+E.

      Suurennuslasikuvake

      Jos haluat varmistaa, että olet pysäyttänyt sieppauksen, tarkista, näkyykö suurennuslasikuvake nyt punaisella X:llä.

      Punainen vinoviiva

      Voit seuraavaksi tyhjentää aiemman sieppauksen valitsemalla pyyhinkuvakkeen.

      Tyhjennä-kuvake

      Voit myös käyttää pikanäppäintä Ctrl+X.

    2. Toinen tapa on suorittaa komentorivi järjestelmänvalvojana ja suorittaa sitten Prosessin valvonta -polusta:

      Cmd procmon 

      Procmon.exe /AcceptEula /Noconnect /Profiling

      Vihje

      Tee ProcMon-ikkunasta mahdollisimman pieni, kun tallennat tietoja, jotta voit helposti käynnistää ja pysäyttää jäljityksen.

      Sivu, jossa näkyy pienennetty procmon

  7. Kun olet noudattanut jotain vaiheen 6 toimintosarjaa, näet seuraavaksi suodattimien asetusvaihtoehdon. Valitse OK. Voit aina suodattaa tulokset, kun sieppaus on valmis.

    Sivu, jolla Järjestelmä pois jätetä valitaan Suodata prosessinimi -toiminnoksi

  8. Aloita sieppaus valitsemalla suurennuslasikuvake uudelleen.

  9. Yritä toistaa ongelma.

    Vihje

    Odota, että ongelma toistuu täysin, ja pane sitten muistiin aikaleima, kun jäljitys alkoi.

  10. Kun prosessi on toiminnassa 2–4 minuuttia korkean suoritinkäyttötilan aikana, pysäytä sieppaus valitsemalla suurennuslasikuvake.

  11. Jos haluat tallentaa sieppauksen yksilöllisellä nimellä ja .pml-muodossa, valitse Tiedosto ja valitse sitten Tallenna.... Muista valita valintanapit Kaikki tapahtumat ja Alkuperäinen prosessin valvontamuoto (PML).

    Tallennuksen asetukset -sivu

  12. Voit parantaa seurantaa muuttamalla oletuspolun C:\temp\ProcessMonitor\LogFile.PMLC:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML kohdasta, jossa:

    • %ComputerName% on laitteen nimi
    • MMDDYEAR on kuukausi, päivä ja vuosi
    • Repro_of_issue on sen ongelman nimi, jota yrität toistaa

    Vihje

    Jos käytössäsi on toimiva järjestelmä, haluat ehkä saada vertailtavan mallilokin.

  13. Postita .pml-tiedosto ja lähetä se Microsoftin tukeen.

Tallenna suorituskykylokit Windowsin suorituskyvyn tallentimen avulla

Windowsin suorituskyvyn tallentimen (WPR) avulla voit sisällyttää lisätietoja lähetykseesi Microsoftin tuelle. WPR on tehokas tallennustyökalu, joka luo tapahtumien seurannan Windows-tallenteita varten.

WPR on osa Windows Assessment and Deployment Kitiä (Windows ADK), ja sen voi ladata Windows ADK:n lataamisesta ja asentamisesta. Voit myös ladata sen osana Windows 10 Software Development Kitiä osoitteessa Windows 10 SDK.

Voit käyttää WPR-käyttöliittymää noudattamalla ohjeita artikkelissa Suorituskyvyn lokien tallentaminen WPR-käyttöliittymän avulla.

Vaihtoehtoisesti voit myös käyttää komentorivityökalua wpr.exe, joka on käytettävissä Windows 8 ja uudemmissa versioissa, noudattamalla ohjeita artikkelissa Suorituskyvyn lokien sieppaaminen WPR-komentorivikäyttöliittymän avulla.

Tallenna suorituskykylokit WPR-käyttöliittymän avulla

Vihje

Jos useassa laitteessa on tämä ongelma, käytä sitä, jossa on eniten RAM-muistia.

  1. Lataa ja asenna WPR.

  2. Napsauta Windows Kits -kohdassa hiiren kakkospainikkeella Windowsin suorituskyvyn tallenninta.

    Käynnistä-valikko

    Valitse Lisää. Valitse Suorita järjestelmänvalvojana.

  3. Kun Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, valitse Kyllä.

    UAC-sivu

  4. Lataa seuraavaksi Microsoft Defender for Endpoint analyysiprofiili ja tallenna nimellä MDAV.wprp kansioon, kuten C:\temp.

  5. Valitse WPR-valintaikkunassa Enemmän vaihtoehtoja.

    Sivu, jolla voit valita lisää asetuksia

  6. Valitse Lisää profiileja... ja selaa tiedoston polkuun MDAV.wprp .

  7. Sen jälkeen sinun pitäisi nähdä uusi profiili mukautettujen mittausten kohdassa nimeltä Microsoft Defender for Endpoint analyysi sen alla.

    Tiedostonsijainnissa

    Varoitus

    Jos Windows Server sisältää vähintään 64 Gigatavua RAM-muistia, käytä mukautettua mittausta -mittarin Microsoft Defender for Endpoint analysis for large serversMicrosoft Defender for Endpoint analysissijaan. Muussa tapauksessa järjestelmä saattaa kuluttaa paljon sivuttamatonta varannon muistia tai puskureita, mikä voi johtaa järjestelmän epävakauteen. Voit valita lisättävät profiilit laajentamalla resurssianalyysia. Tämä mukautettu profiili tarjoaa tarvittavan kontekstin perusteelliseen suorituskykyanalyysiin.

  8. Mukautetun mittauksen käyttäminen Microsoft Defender for Endpoint yksityiskohtainen analyysiprofiili WPR-käyttöliittymässä:

    1. Varmista, että ensimmäisen tason triage-, Resurssianalyysi - ja Skenaarioanalyysi-ryhmissä ei ole valittu profiileja.
    2. Valitse Mukautetut mittaukset.
    3. Valitse Microsoft Defender for Endpoint analyysi.
    4. Valitse Yksityiskohtainen-kohdan lisätietotaso-kohdasta.
    5. Valitse Tiedosto tai Muisti kirjaustilassa.

    Tärkeää

    Valitse Tiedosto , jos haluat käyttää tiedoston kirjaamistilaa, jos käyttäjä voi toistaa suorituskykyongelman suoraan. Useimmat ongelmat kuuluvat tähän luokkaan. Jos käyttäjä ei kuitenkaan pysty toistamaan ongelmaa suoraan, mutta hän huomaa sen helposti ongelman ilmenemisen jälkeen, käyttäjän on valittava Muisti , jotta hän voi käyttää muistin kirjaustilaa. Näin varmistat, että jäljitysloki ei paisu liikaa pitkän suoritusajan vuoksi.

  9. Nyt olet valmis keräämään tietoja. Sulje kaikki sovellukset, jotka eivät ole olennaisia suorituskykyongelman toistamisessa. Voit valita Piilota vaihtoehdot , jos haluat pitää WPR-ikkunan tilan pienenä.

    Piilota-asetukset

    Vihje

    Yritä käynnistää jäljitys kokonaislukusekunteina. Esimerkiksi 01:30:00. Tämä helpottaa tietojen analysointia. Yritä myös seurata aikaleimaa tarkasti siitä, milloin ongelma toistuu.

  10. Valitse Käynnistä.

    Tallenna järjestelmän tiedot -sivu

  11. Yritä toistaa ongelma.

    Vihje

    Pidä tiedonkeruu enintään viidessä minuutissa. 2–3 minuuttia on hyvä alue, koska tietoja kerätään paljon.

  12. Valitse Tallenna.

    Tallenna-vaihtoehto

  13. Täytä tyyppi yksityiskohtaisen kuvauksen ongelmasta: tietoja ongelmasta ja siitä, miten ongelma toistui.

    Ruutu, johon täytät

    1. Valitse Tiedostonimi: määrittääksesi, mihin jäljitystiedosto tallennetaan. Oletusarvon mukaan se tallennetaan kohteeseen %user%\Documents\WPR Files\.
    2. Valitse Tallenna.

  14. Odota, jäljitystä yhdistetään.

    WPR:n yleisen jäljityksen kerääminen

  15. Kun jäljitys on tallennettu, valitse Avaa kansio.

    Sivu, joka näyttää ilmoituksen WPR-jäljityksen tallentamisesta

    Sisällytä sekä tiedosto että kansio lähetykseesi Microsoft-tukeen.

    Tiedoston ja kansion tiedot

Tallenna suorituskykylokit WPR CLI:n avulla

Komentorivityökalu wpr.exe on osa käyttöjärjestelmää alkaen Windows 8. WPR-jäljityksen kerääminen komentorivityökalun wpr.exe avulla:

  1. Lataa Microsoft Defender for Endpoint analyysiprofiili suorituskyvyn jäljitystä varten tiedostoon, joka on nimetty MDAV.wprp paikallisessa hakemistossa, kuten C:\traces.

  2. Napsauta Käynnistä-valikon kuvaketta hiiren kakkospainikkeella ja valitse Windows PowerShell (Hallinta) tai komentokehote (Hallinta) avataksesi Hallinta komentokehoteikkunan.

  3. Kun Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, valitse Kyllä.

  4. Käynnistä Microsoft Defender for Endpoint suorituskyvyn jäljitys suorittamalla seuraava komento järjestelmän laajennetun kehotteen kohdalla:

    wpr.exe -start C:\traces\MDAV.wprp!WD.Verbose -filemode

    Varoitus

    Jos Windows Serverissä on vähintään 64 Gigatavua TAI RAM-muistia WDForLargeServers.LightWDForLargeServers.Verbose , käytä profiileja profiilien WD.Light ja WD.Verbose, sijaan. Muussa tapauksessa järjestelmä saattaa kuluttaa paljon sivuttamatonta varannon muistia tai puskureita, mikä voi johtaa järjestelmän epävakauteen.

  5. Yritä toistaa ongelma.

    Vihje

    Pidä tiedonkeruu enintään viidessä minuutissa. Skenaariosta riippuen 2–3 minuuttia on hyvä alue, koska tietoja kerätään paljon.

  6. Pysäytä suorituskyvyn jäljitys suorittamalla seuraava komento järjestelmän laajennetun kehotteen kohdalla ja varmistamalla, että annat tietoja ongelmasta ja siitä, miten ongelma toistui:

    wpr.exe -stop merged.etl "Timestamp when the issue was reproduced, in HH:MM:SS format" "Description of the issue" "Any error that popped up"

  7. Odota, kunnes jäljitys on yhdistetty.

  8. Sisällytä sekä tiedosto että kansio lähetykseesi Microsoft-tukeen.

Vihje

Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:

Vihje

Suorituskykyvihje Virustentorjunnan Microsoft Defender voi muiden virustentorjuntaohjelmistojen tavoin aiheuttaa suorituskykyongelmia päätepistelaitteissa monien eri tekijöiden vuoksi (alla luetellut esimerkit). Joissakin tapauksissa sinun on ehkä hienosäädettävä Microsoft Defender virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:

  • Tärkeimmät skannausaikaan vaikuttavat polut
  • Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
  • Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
  • Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
  • Yhdistelmät – esimerkiksi:
    • ylimmät tiedostot laajennusta kohti
    • ylimmät polut laajennusta kohti
    • parhaat prosessit polkua kohti
    • suosituimmat tarkistukset tiedostoa kohden
    • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suorituskykyanalysaattorin avulla kerättyjen tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.